¿Cuál es la posición del delegado de protección de datos en una organización?

El artículo 38 del RGPD establece que el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos (DPD) "participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales".

Es fundamental que el DPD, o su equipo, participen desde la etapa más temprana posible en todas las cuestiones relativas a la protección de los datos (de manera especial, en relación con las evaluaciones de impacto).

Asimismo, es importante que el DPD sea considerado como un interlocutor dentro de la organización y que forme parte de los correspondientes grupos de trabajo que se ocupan de las actividades de tratamiento de datos dentro de la organización.

Para el Grupo de Trabajo del artículo 29 (actual Comité Europeo de Protección Datos), en consecuencia, la organización debe garantizar, por ejemplo, que:

• Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
• Que esté presente cuando se toman decisiones con implicaciones para la protección de datos (recordando que toda la información pertinente debe transmitirse al DPD a su debido tiempo con el fin de que pueda prestar un asesoramiento adecuado).
• Su opinión debe tenerse siempre debidamente en cuenta (en caso de desacuerdo, como buena práctica, es conveniente documentar los motivos por los que no se sigue el consejo del DPD).
• Su consulta al DPD con prontitud, una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

Cuando sea pertinente, el responsable o el encargado del tratamiento podría elaborar directrices o programas sobre la protección de datos que determinen cuándo debe consultarse al DPD.

Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.

En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto.